5.3.3  社會工程學攻擊

信息安全從業者和組織機構的信息化管理人員需要建立一個概念，盡管我們非常重視信息安全，投人大量的資金并選擇先進的技術來保護我們的信息系統和數據，但是社會工程學工程師仍然可能通過人性的“弱點”利用內部人員繞過所有技術的保護達到非法的目的。凱文，米特尼克在他所著的關于社會工程學書籍《欺騙的藝術》中這樣形容社會工程師：一個無所顧忌的魔術師，用他的左手吸引你的注意，右手竊取你的秘密。他通常十分友善，很會說話，并會讓人感到遇上他是件榮幸的事情。

社會工程學攻擊是建立在人性“弱點”利用基礎上的攻擊，大部分的社會工程學攻擊都是經過精心策劃才能實施成功的。即使是最簡單的“直接攻擊”也需要進行前期的準備。女口果希望受害者接受攻擊者所偽裝的身份，攻擊者就必須具備這個身份所需要的一些特征。攻擊者在實施攻擊之前，需要盡量收集偽裝身份所需要的信息，這些信息是攻擊者偽裝成功的基礎。例如攻擊者要偽裝成某個大型集團公司總部的系統管理員，那么他需要了解這個大型集團公司所處行業的一些行規或者內部約定、公司規則制度、組織架構等信息，甚至包括集團公司中相關人員的綽號等等，想象一下，如果攻擊者偽裝成集團公司的網絡管理人員，在跟某個用戶溝通交流時，不僅能準確的使用行業術語，還能隨口說出公司內部所熟知的人員的綽號，想讓受害者相信你是公司內部人員幾乎是非常容易的。